Developerzy narażają użytkowników Androida

23 czerwca 2014, 12:16 | Bezpieczenstwo IT

Naukowcy z Columbia University ostrzegają, że developerzy aplikacji dla Androida często przechowują klucze szyfrujące w samych aplikacjach. To oznacza, że cyberprzestępcy mogą poznać te klucze dokonując dekompilacji programów.

Uczeni opracowali narzędzie o nazwie PlayDrone, które zaindeksowało i przeanalizowało 1,1 miliona aplikacji obecnych w sklepie Google Play. Wykorzystali przy tym techniki hakerskie, które pozwoliły im na ominięcie zabezpieczeń sklepu. Zdobyli w ten sposób kody źródłowe ponad 800 000 bezpłatnych aplikacji. Po ich dekompilacji i analizie odkryli, że tajne klucze szyfrujące są często przechowywane w samych aplikacjach. Cyberprzestępcy, którzy mogą w podobny sposób zdobyć te klucze, będą w stanie podsłuchać dzięki nim komunikację pomiędzy użytkownikiem a serwerem z którym się łączy.

Niektóre ze wspomnianych aplikacji służyły do łączenia się z Facebookiem. Serwis społecznościowy został poinformowany o problemie i w odpowiedzi przestał akceptować klucze z tych aplikacji. To zmusiło ich twórców do wprowadzenia zmian zapewniających większe bezpieczeństwo.

Theodora Titonis, wiceprezes firmy Veracode, która specjalizuje się w bezpieczeństwie urządzeń mobilnych mówi, że jeśli klucze szyfrujące znajdują się w samej aplikacji, to cyberprzestępca może zdobyć je w bardzo prosty sposób. Istnieją łatwo dostępne narzędzia do dekompilacji - mówi Titonis. Jej zdaniem taka niefrasobliwość twórców aplikacji wynika z ich lenistwa bądź braku odpowiednich umiejętności. Klucze szyfrujące powinny być przechowywane osobno na serwerze. Jednak to wymaga stworzenia dodatkowego kodu i całość staje się bardziej złożona. Tymczasem twórcy aplikacji mobilnych niezwykle często oszczędzają sobie pracy w sposób, jaki naraża użytkowników na niebezpieczeństwo.

O problemie z bezpieczeństwem aplikacji mobilnych wiadomo nie od dzisiaj. W ubiegłym roku firma Hewlett-Packard przeprowadziła badania, z których wynika, że aż 86% aplikacji stworzonych przez 600 firm z listy Forbes Global 2000 ma niewystarczające zabezpieczenia.

Autor: Mariusz Błoński

Źródło: InfoWorld

Android aplikacja klucz szyfrujący

Komentarze (2)

thikim, 29 czerwca 2014, 14:07

Czy to było legalne? Chyba nie.

Astroboy, 29 czerwca 2014, 16:01

Niektóre ze wspomnianych aplikacji służyły do łączenia się z Facebookiem. Serwis społecznościowy został poinformowany o problemie i w odpowiedzi przestał akceptować klucze z tych aplikacji. To zmusiło ich twórców do wprowadzenia zmian zapewniających większe bezpieczeństwo.

Ależ ciężka praca u podstaw.

Jej zdaniem taka niefrasobliwość twórców aplikacji wynika z ich lenistwa bądź braku odpowiednich umiejętności.

Nie jestem znawcą, ale tego proponuję się trzymać.

dodaj komentarz

Developerzy narażają użytkowników Androida

Komentarze (2)

Zostań Patronem

Najnowsze wiadomości

Najnowsze komentarze